Năm 2016 dậy sóng bởi những vụ tấn công DDoS lớn chưa từng có từ “đội quân ma” IoT, lỗ hổng bảo mật trên WordPress đe dọa hàng triệu blogger đối mặt với rủi ro khó lường, mã độc ransomware bùng phát tống tiền khắp nơi, những cáo buộc về việc cá nhân sử dụng email riêng trong công việc gây mất anh ninh quốc gia, và tấn công mạng làm sai lệch kết quả bầu cử tổng thống Mỹ mới đây. Không có biểu hiện gì cho thấy bức tranh bảo mật 2017 sẽ sáng lên.
Thậm chí, theo nhiều chuyên gia bảo mật, tình hình năm nay còn tồi tệ hơn với nhiều diễn biến an ninh mạng phức tạp, từ những mánh lới phi kỹ thuật (social engineering) được hacker khai thác triệt để cho tới những cách thức tiêm nhiễm malware mới tinh vi hơn, khai thác lỗ hổng truy cập cơ sở dữ liệu dễ bị tổn thương, lợi dụng công nghệ di động xâm nhập vào hệ thống của các tổ chức, doanh nghiệp và người dùng mục tiêu.
Dưới đây là 7 điểm nhấn trong bức tranh bảo mật 2017 theo nhận định của các chuyên gia.
Tăng cường quản lý mật khẩu
Mật khẩu từ lâu đã được xem là không thể thiếu để xác thực quyền truy cập hệ thống thông tin nhạy cảm, dù vậy trên thực tế nhận thức về điều này nhiều khi còn quá lơ là.
Thói quen sử dụng mật khẩu đơn giản, dễ đoán hoặc duy trì quá lâu, thậm chí để nguyên mật khẩu mặc định truy cập thiết bị vẫn khá phổ biến. Theo khảo sát hiện trạng an ninh các camera IP tại Việt Nam trong quý III/2016 của công ty an ninh mạng Bkav, có tới 76% thiết bị vẫn đang dùng tài khoản và mật khẩu mặc định của nhà sản xuất, tạo điều kiện cho kẻ xấu dễ dàng truy cập, chiếm quyền điều khiển thiết bị.
Tạp chí công nghệ Computerworld dẫn lời CEO Matt Dircks của công ty bảo mật Bomgar & Scott Millis, cho rằng các doanh nghiệp đã nhận thức được họ dễ bị tổn thương ra sao nên ngày càng quan tâm hơn đến các dịch vụ quản lý mật khẩu. Đây sẽ là xu hướng của năm nay.
Cuộc tấn công DDoS diễn ra cuối tháng 10/2016 nhắm vào nhà cung cấp dịch vụ tên miền Dyn gây ảnh hưởng hàng loạt dịch vụ Internet tại Mỹ là lời cảnh báo về nguy cơ mất an toàn thông tin (ATTT) từ những thiết bị IoT (Internet of Things) chỉ được bảo vệ bằng mật khẩu mặc định. Cuộc tấn công được cho là do mã độc Mirai lây nhiễm rất nhiều thiết bị IoT và tạo ra mạng botnet rộng lớn. Trước đó, vào tháng 9, cuộc tấn công tương tự vào công ty cung cấp dịch vụ hosting OVH của Pháp đạt mức băng thông kỷ lục lên tới 1 Terabit/giây.
Không chỉ camera IP mà router gia đình và thiết bị kết nối Internet khác để nguyên mật khẩu mặc định không phải là chuyện hiếm. Nhiều chuyên gia bảo mật cảnh báo, thói quen dùng mật khẩu yếu cũng đặt các cơ sở hạ tầng trọng yếu được vận hành bởi các hệ thống CNTT (như ICS/Scada) thành mục tiêu dễ bị hacker hạ gục từ xa.
Sử dụng bộ quản lý mật khẩu đáng tin cậy là cách tốt nhất để tạo ra mật khẩu mạnh ngẫu nhiên, lưu trữ an toàn, tiện dùng và định kỳ đổi mật khẩu sẽ khiến hacker nản lòng trong việc dò tìm, bẻ khóa.
Giám sát chặt đặc quyền
Chuyên gia bảo mật Matt Dircks cho biết, hacker luôn muốn dành quyền truy cập cấp cao thông qua mục tiêu chiếm đoạt tài khoản người dùng đặc quyền như quản trị viên, chuyên viên IT cao cấp, CEO và nhà cung cấp. Vì thế, việc các tổ chức chỉ chú trọng triển khai các giải pháp công nghệ bảo mật cho hệ thống, ứng dụng và dữ liệu quan trọng của họ là chưa đủ.
Tại buổi hội thảo Ngày ATTT Việt Nam 2016 diễn ra hôm 17/11 tại TP.HCM, các chuyên gia cảnh báo công tác phòng thủ chỉ dựa vào công nghệ chưa đủ để đối phó với các mối đe dọa ngày nay, khi mà hacker thông minh hơn, tấn công có chủ đích và đeo bám dai dẳng hơn với những mã độc tinh vi, phương thức tấn công liên tục được cải tiến.
“Nhiều cuộc tấn công mạng nhắm vào yếu tố con người vì dễ thành công hơn, lại có chi phí thấp, thậm chí có thể thuê dịch vụ tấn công giá thấp”, Stefanus Natahusada, chuyên gia tư vấn bảo mật của Kaspersky cho biết.
Ông Vũ Trọng Đường - Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT cũng nhìn nhận, nhiều lãnh đạo có quyền truy cập cao nhưng lại hành xử thiếu chuyên nghiệp là cơ hội để hacker lợi dụng khai thác tấn công.
Theo ông Dircks, trong năm 2017 này, các tổ chức sẽ phải nhận thức là bảo vệ hệ thống không đủ mà còn phải kiểm soát chặt chẽ những người dùng đặc quyền, không cho phép họ truy cập tới những gì không cần thiết, và có những cảnh báo kịp thời khi họ truy cập vượt ra ngoài khu vực được phép.
Con người vốn được xem là mắt xích yếu nhất trong hệ thống phòng thủ an ninh mạng, và các chuyên gia vẫn thường nhấn mạnh tầm quan trọng của công tác đào tạo kiến thức bảo mật, nâng cao nhận thức của người dùng.
Đặc biệt trong kỷ nguyên di động lấy ứng dụng (app) làm trung tâm, rất nhiều ứng dụng đòi quyền truy cập dữ liệu quan trọng và thông tin cá nhân nhạy cảm, và vì muốn nâng cao trải nghiệm khi sử dụng thiết bị cá nhân nên người dùng dễ chấp thuận, tạo cơ hội cho mã độc lây nhiễm và trao quyền lớn cho kẻ tấn công.
Thêm nữa, người dùng thường tin tưởng vào các nhà cung cấp dịch vụ và yên tâm được bảo vệ bởi các chương trình phòng chống mã độc cài trên thiết bị. Niềm tin đó theo nhiều chuyên gia là hết sức nguy hiểm trong bối cảnh thiếu hụt chuyên viên bảo mật, nhân lực trong lĩnh di động thiếu kỹ năng về an ninh mạng và hacker thì ngày càng thông minh, mã độc ngày càng độc hơn.
Tình trạng đổ lỗi cho nhau về trách nhiệm bảo mật
Gia tăng nhanh chóng đủ loại thiết bị IoT cũng chính là cơ hội để các loại malware phát tác khó kiểm soát. Điều đáng lo ngại là nhiều thiết bị IoT thiếu tính năng bảo mật, thậm chí có thể chỉ được bảo vệ bằng tên và mật khẩu mặc định, như phát hiện gần đây với rất nhiều camera IP. Trong khi đó, bộ phận CNTT thường chỉ có trách nhiệm với máy tính và hệ thống mạng nội bộ, những thiết bị IoT mới nhiều khi không rõ thuộc phạm vi trách nhiệm của ai, nghĩa là tiềm ẩn mất an ninh, ATTT rất lớn.
Ai chịu trách nhiệm bảo đảm an ninh ATTT, vá các lỗ hổng bảo mật cho thiết bị IoT? Tệ hơn nữa, nếu có sản phẩm kết nối mạng nội bộ mà chưa được vá lỗ hổng thì sao? Dữ liệu tự động đồng bộ lên mây thì ai sẽ chịu trách nhiệm về ATTT cho các thiết bị đồng bộ khác: nhà sản xuất thiết bị IoT, nhà cung cấp dịch vụ bảo mật, bộ phận CNTT, hay người dùng cuối? Rất nhiều câu hỏi đặt ra mà không dễ có câu trả lời rõ ràng. Nghĩa là khó qui trách nhiệm khi sự cố bảo mật xảy ra, cũng không rõ ai sẽ là người giải quyết? Những phản ứng tiêu cực sẽ là hậu quả từ cơ chế phân quyền không rõ ràng.
Ông Dircks cho rằng các CSO, CISO hay thậm chí là CIO đều đang ngồi trên ghế nóng vô hình với trách nhiệm nặng nề về bảo mật. Họ phải có trách nhiệm góp phần xây dựng chính sách ATTT với các qui định và biện pháp bảo đảm ATTT cho tổ chức. Thực thi thì thuộc về bộ phận CNTT. Vấn đề đặt ra với các đơn vị là truyền thông phải thông suốt giữa bộ phận CNTT và các lãnh đạo để họ hiểu rõ những nguy cơ tiềm ẩn, nhu cầu và kinh phí đầu tư, lựa chọn giải pháp bảo mật, và những khó khăn, thách thức mà tổ chức phải đối mặt.
Ransomware sẽ vượt tầm kiểm soát
Tấn công tống tiền bằng mã độc ransomware đã thành xu hướng chủ đạo tạo ra hoạt động kinh doanh béo bở cho giới tội phạm mạng. Báo cáo tình hình an ninh mạng năm 2016 của Symantec cho biết, năm qua trung bình mỗi ngày có hơn 4.000 cuộc tấn công của mã độc ransomware, tăng 300% so với năm trước.
Chia sẻ tại Ngày ATTT Việt Nam 2016, ông Võ Đỗ Thắng - Giám đốc Trung tâm Đào tạo Quản trị và An ninh mạng Athena, cho hay, số lượng ransomware mới không những tăng nhanh mà sinh ra rất nhiều biến thể, cực kỳ khó đối phó. Điều đáng sợ là rất dễ để tạo ra ransomware từ mã nguồn ban đầu tải về từ Internet.
Theo Scott Millis – Giám đốc công nghệ của công ty bảo mật thiết bị và di động Cyber adAPT, hầu hết các kỹ thuật phòng vệ hiện nay như tường lửa, chương trình antivirus hay ngăn chặn xâm nhập để giảm thiểu các mối nguy hại là không đủ để chống lại các cuộc tấn công mạng kiểu mới. Thực tế, từ những vụ rò rỉ dữ liệu vừa qua, như 1 tỷ tài khoản Yahoo bị đánh cắp thông tin, cho thấy việc phát hiện và đối phó phải được cải thiện.
Và khi hacker tăng cường dùng mánh lới phi kỹ thuật (social engineering), cũng như lợi dụng môi trường mạng xã hội để đánh cắp dữ liệu nhạy cảm của những người có vai trò quan trọng với tổ chức doanh nghiệp, thì việc tăng cường huấn luyện về bảo mật một cách toàn diện cho người dùng càng phải được đề cao.
Các chuyên gia bảo mật cảnh báo rằng, doanh nghiệp sẽ phải đối mặt với tình trạng tấn công ransomware ngày càng gia tăng, rủi ro khó lường có thể xảy ra bất cứ lúc nào nếu chính sách cũng như công nghệ về bảo mật không được cải thiện. Nhất là có nhiều loại ransomware có thể nằm phục sẵn rất lâu trong hệ thống trước khi hacker phát động tấn công nên càng khó phát hiện. Thêm nữa, theo ông Millis, những giải pháp như IaaS, SaaS và thiết bị IoT mới triển khai ngày càng nhiều khiến công cuộc bảo vệ hệ thống thông tin của doanh nghiệp càng gặp khó.
Thời gian phát hiện không mấy cải thiện
Thời gian phát hiện một cuộc tấn công thành công sẽ không mấy cải thiện trong năm nay. Có những trường hợp nạn nhân có thể mất tới hàng năm mới biết mình đã bị tấn công, gánh chịu thiệt hại rất lớn.
Theo ông Millis, thời gian nhận biết lâu như vậy là do công tác phát hiện hoạt động tấn công chưa được quan tâm đúng mức. Các công ty, nhà sản xuất và người dùng cá nhân đều tìm cách tránh xa những nguồn lây nhiễm malware trên mạng, các công nghệ phòng thủ tập trung vào ngăn chặn sự xâm nhập từ ngoài vào, và nhận diện malware theo kiểu như một cuộc chạy đua vũ trang mà hacker luôn dẫn trước.
Các công nghệ phản ứng và khả năng khắc phục sự cố được cải thiện, nạn nhân có thể cô lập và sửa chữa hư hỏng nhanh chóng. Nhưng, vấn đề là những công nghệ này không giúp giảm thiểu thời gian nhận biết, trừ khi mã độc được khám phá tình cờ, theo nhận định của ông Millis. Ông cũng cho rằng việc sử dụng các tập tin log của thiết bị kết nối mạng có thể giúp phát hiện sớm manh mối liệu một cuộc tấn công đã tiến hành thử hay thành công rồi, nhưng vấn đề là dữ liệu lưu trữ quá lớn và nhiều thể loại là một trở ngại không hề nhỏ cho phương thức này.
Hệ thống phát hiện sớm và quản lý theo sự kiện (Security Incident and Event Management - SIEM) đem đến khả năng phát hiện tấn công theo hành vi, những kết nối đáng ngờ từ trong hệ thống ra bên ngoài, biểu hiện bất thường của những sự kiện… Tuy nhiên, việc xây dựng SIEM ngày càng tốn kém, hơn nữa lưu lượng truyền trên mạng ngày càng “khủng”, phần lớn còn được mã hóa nên khả năng phát hiện sớm các cuộc tấn công mạng vẫn còn xa so với mong đợi, theo báo cáo của Chi hội ATTT phía Nam tại Ngày ATTT Việt Nam 2016.
Gia tăng tấn công qua ngõ di động
Theo một báo cáo mới đây của Ponemon Institute, thiệt hại kinh tế do xâm phạm dữ liệu di động gây ra cho một doanh nghiệp lớn có thể lên đến 26 triệu USD, và 67% tổ chức tham gia khảo sát trả lời đã bị xâm phạm dữ liệu do nhân viên sử dụng thiết bị di động cá nhân truy cập thông tin nhạy cảm và bí mật của công ty.
Thực tế là người dùng thời nay thường xuyên di chuyển với thiết bị di động luôn bên mình, gây “khó” cho các giải pháp bảo mật thông thường. Thêm nữa, việc người dùng chủ động lựa chọn thiết bị cho mục đích cá nhân lẫn công việc cũng là cơ hội để hacker tận dụng khai thác nhiều kẽ hở. Với thiết bị di động, người dùng thường ưu tiên tăng cường trải nghiệm hơn là quan tâm nhiều cho việc giữ gìn ATTT. Các tổ chức, doanh nghiệp sẽ phải đối mặt với thách thức ngày càng phức tạp cho việc thực thi các chiến lược bảo mật của họ.
Thanh toán di động được chấp nhận khắp nơi cũng sẽ là mục tiêu của hacker. Các giải pháp mới mẻ như selfie để thanh toán của MasterCard và True Key của Intel để đăng nhập nhanh dịch vụ trực tuyến đòi hỏi người dùng cần hiểu rằng việc bảo vệ dữ liệu sinh trắc học của bản thân cũng phải hết sức cẩn trọng như với dữ liệu cá nhân và tài chính khác.
Truy cập các mạng Wi-Fi công cộng không hề an toàn, và các chuyên gia bảo mật thường khuyến nghị người dùng không nên thực hiện các giao dịch ngân hàng trực tuyến với mạng Wi-Fi công cộng. Vì thế, các nhà cung cấp dịch vụ Wi-Fi công cộng lẽ ra nên có thêm cảnh báo người dùng, kiểu như: truy cập mạng công cộng là không an toàn và thông tin truyền trên mạng có thể bị kẻ xấu đọc lén, thu thập và chuyển cho bên thứ ba khai thác trục lợi từ việc đánh cắp tài sản, danh tính hay thông tin cá nhân của người dùng, ông Millis gợi ý.
IoT cũng là Internet của các mối đe dọa
Các lỗ hổng và tấn công thông qua thiết bị IoT sẽ gia tăng và làm tăng nhu cầu chuẩn hóa cho một loạt biện pháp bảo mật. Tại hội nghị hacker Def Con năm nay đã công bố 47 lỗ hổng bảo mật mới ảnh hưởng tới 23 thiết bị của 21 nhà sản xuất.
Những đợt tấn công DDoS trên diện rộng mới đây bởi mạng botnet Mirai tạo ra từ các thiết bị IoT không an toàn là lời cảnh tỉnh cho bất kỳ tổ chức, doanh nghiệp nào.
Thiết bị IoT đang lan tỏa nhanh trong đời sống với khả năng kết nối mạnh mẽ và ngày càng thông minh hơn, trong đó có nhiều loại thiết bị điện tử tiêu dùng, nhà và xe hơi kết nối. Tuy nhiên, không phải thiết bị kết nối Internet nào cũng thông minh. Thực tế, nhiều thiết bị IoT thiếu khả năng bảo mật, hoặc có nhưng lại thường bị bỏ qua không được kích hoạt khi sử dụng, và số thiết bị như vậy trên Internet không phải là ít. Chúng dễ bị hacker lợi dụng làm cầu nối tấn công có chủ đích vào các hệ thống, đặc biệt nguy hiểm nếu đó là những hệ thống điều khiển cơ sở hạ tầng trọng yếu, như lưới điện, hệ thống đường sắt, giao thông công cộng. Thậm chí có những hệ thống điều khiển như vậy còn chứa rất nhiều thiết bị với công nghệ từ những năm 1950 – 1960, hầu như không còn đảm bảo an toàn.
|
Cũng như smartphone trước đây, thiết bị IoT mới ở giai đoạn khởi đầu và đang có xu hướng bùng phát, lại chưa nhận được sự quan tâm đúng mức về bảo mật, chủ yếu đang được tập trung khai thác những chức năng phong phú của chúng. Những vấn đề phức tạp về bảo mật mà thiết bị di động cá nhân đang đối mặt cũng là tương lai đối với IoT – chúng hầu như rất dễ bị tổn thương. Đó là điều các tổ chức, doanh nghiệp và mọi cá nhân cần ghi nhớ trong kỷ nguyên Internet vạn vật.